Ein Beweis für die Philosophie der Pfahlkonstruktion

Systeme wie Ethereum (und Bitcoin, NXT und Bitshares usw.) sind eine grundlegend neue Klasse von kryptoökonomischen Organismen - dezentrale Einheiten ohne Gerichtsbarkeit, die vollständig im Cyberspace existieren und von einer Kombination aus Kryptographie, Wirtschaft und sozialem Konsens gepflegt werden. Sie sind wie BitTorrent, aber sie sind auch nicht wie BitTorrent, da BitTorrent kein Zustandskonzept hat - eine Unterscheidung, die sich als entscheidend herausstellt. Sie werden manchmal als dezentrale, autonome Unternehmen bezeichnet, aber sie sind auch keine echten Unternehmen - Sie können Microsoft nicht hart feilen. Sie ähneln Open-Source-Softwareprojekten, sind aber auch nicht so einfach - Sie können eine Blockchain aufteilen, aber nicht so einfach wie Sie OpenOffice aufteilen können.

Diese kryptoökonomischen Netzwerke gibt es in vielen Varianten - ASIC-basiertes PoW, GPU-basiertes PoW, naives PoS, delegiertes PoS, hoffentlich bald Casper PoS - und jede dieser Varianten hat zwangsläufig ihre eigene zugrunde liegende Philosophie. Ein bekanntes Beispiel ist die maximalistische Vision des Beweises der Arbeit, in der „die“ richtige Blockchain, Singular, als die Kette definiert wird, in der Bergleute die größte Menge an wirtschaftlichem Kapital verbrannt haben, um zu schaffen. Ursprünglich nur eine protokollinterne Wahlregel, wurde dieser Mechanismus in vielen Fällen zu einem heiligen Grundsatz erhoben. Sehen Sie sich diese Twitter-Diskussion zwischen mir und Chris DeRose an, um ein Beispiel für jemanden zu finden, der ernsthaft versucht, die Idee in reiner Form zu verteidigen, auch in das Gesicht von Hard Forks, die das Protokoll von Hash-Algorithmen ändern. Der von Bitshares delegierte Proof of Stake stellt eine weitere kohärente Philosophie dar, bei der alles noch einmal aus einer Hand geht, die aber noch einfacher beschrieben werden kann: Die Aktionäre stimmen ab.

Jede dieser Philosophien; Nakamoto-Konsens, sozialer Konsens, Aktionärsstimmungskonsens, führt zu eigenen Schlussfolgerungen und zu einem Wertesystem, das für sich genommen durchaus Sinn macht - auch wenn sie im Vergleich durchaus kritisiert werden können. Der Casper-Konsens hat auch eine philosophische Grundlage, wenn auch eine, die bisher nicht so prägnant formuliert wurde.

Ich, Vlad, Dominic, Jae und andere haben alle ihre eigenen Ansichten darüber, warum es Beweise für Einsatzprotokolle gibt und wie man sie entwirft, aber hier möchte ich erklären, wo ich persönlich herkomme.

Ich werde Beobachtungen und Schlussfolgerungen direkt auflisten.

  • Die Kryptographie ist im 21. Jahrhundert wirklich etwas Besonderes, da die Kryptographie eines der wenigen Gebiete ist, in denen der Verteidiger nach wie vor stark von Konflikten betroffen ist. Burgen sind viel einfacher zu zerstören als zu bauen, Inseln sind verteidigungsfähig, können aber trotzdem angegriffen werden, aber die ECC-Schlüssel einer durchschnittlichen Person sind sicher genug, um selbst staatlichen Akteuren Widerstand zu leisten. Bei der Cypherpunk-Philosophie geht es im Wesentlichen darum, diese kostbare Asymmetrie zu nutzen, um eine Welt zu schaffen, in der die Autonomie des Einzelnen besser gewahrt wird, und die Kryptoökonomie ist in gewissem Maße eine Erweiterung davon, außer diesmal, um die Sicherheit und Lebendigkeit komplexer Koordinations- und Kooperationssysteme zu schützen als nur die Integrität und Vertraulichkeit von privaten Nachrichten. Systeme, die sich als ideologische Erben des Cypherpunk-Geistes betrachten, sollten diese grundlegende Eigenschaft aufrechterhalten und viel teurer zu zerstören oder zu stören sein, als sie zu verwenden und zu pflegen sind.
  • Der "Cypherpunk-Geist" handelt nicht nur von Idealismus. Systeme herzustellen, die leichter zu verteidigen sind als anzugreifen, ist auch einfach eine gute Technik.
  • Auf mittleren bis langen Zeitskalen sind die Menschen ziemlich konsensfähig. Selbst wenn ein Gegner Zugang zu unbegrenzter Hash-Kraft hatte und eine 51% ige Attacke einer großen Blockchain auslöste, die sogar den letzten Monat der Geschichte rückgängig machte, ist es viel schwieriger, die Community davon zu überzeugen, dass diese Kette legitim ist, als nur die Hash-Kraft der Hauptkette zu übertreffen . Sie müssten Blockforscher, jedes vertrauenswürdige Mitglied der Community, die New York Times, archive.org und viele andere Quellen im Internet untergraben. Alles in allem ist es so schwer, die Welt davon zu überzeugen, dass die neue Angriffskette die erste ist, die es im 21. Jahrhundert mit der Informationstechnologie gegeben hat, als die Welt davon zu überzeugen, dass die US-Mondlandungen niemals stattgefunden haben. Diese sozialen Überlegungen schützen letztendlich langfristig jede Blockchain, unabhängig davon, ob die Community der Blockchain dies zugibt oder nicht (beachten Sie, dass Bitcoin Core diesen Vorrang der sozialen Ebene einräumt).
  • Eine Blockchain, die allein durch den sozialen Konsens geschützt ist, wäre jedoch viel zu ineffizient, zu langsam und zu einfach, um die Meinungsverschiedenheiten ohne Ende fortzusetzen (obwohl dies trotz aller Schwierigkeiten geschehen ist). Daher spielt der wirtschaftliche Konsens eine äußerst wichtige Rolle für den kurzfristigen Schutz der Lebensfähigkeit und der Sicherheitseigenschaften.
  • Da der Nachweis der Arbeitssicherheit nur durch Blockbelohnungen erbracht werden kann (laut Dominic Williams fehlen zwei der drei ES) und die Anreize für Bergarbeiter nur durch das Risiko entstehen können, dass sie ihre zukünftigen Blockbelohnungen verlieren, funktioniert der Nachweis der Arbeit unbedingt auf einer Logik der massiven Macht, die durch massive Belohnungen zum Leben erweckt wird. Die Wiederherstellung nach Angriffen in PoW ist sehr schwierig: Wenn es zum ersten Mal vorkommt, können Sie das PoW schwer ändern und dadurch die ASICs des Angreifers unbrauchbar machen, aber wenn Sie das zweite Mal diese Option nicht mehr haben, kann der Angreifer erneut und erneut angreifen nochmal. Daher muss das Mining-Netzwerk so groß sein, dass Angriffe nicht vorstellbar sind. Angreifer mit einer Größe von weniger als X werden davon abgehalten, zu erscheinen, indem das Netzwerk ständig jeden Tag X ausgibt. Ich lehne diese Logik ab, weil (i) es Bäume tötet und (ii) es den Cypherpunk-Geist nicht erkennt - Angriffskosten und Verteidigungskosten stehen im Verhältnis 1: 1, sodass es keinen Vorteil für den Verteidiger gibt.
  • Der Nachweis des Einsatzes durchbricht diese Symmetrie, indem er nicht auf Belohnungen für die Sicherheit, sondern auf Strafen setzt. Validatoren setzen Geld ("Einzahlungen") auf dem Spiel, werden leicht belohnt, um sie für das Sperren ihres Kapitals und die Aufrechterhaltung von Knoten zu entschädigen und zusätzliche Vorsichtsmaßnahmen zu treffen, um die Sicherheit ihrer privaten Schlüssel zu gewährleisten. Der Großteil der Kosten für das Zurücksetzen von Transaktionen resultiert jedoch aus Strafen Hunderte oder Tausende Male größer als die Belohnungen, die sie in der Zwischenzeit erhalten haben. Die "Ein-Satz-Philosophie" für den Nachweis des Einsatzes lautet daher nicht "Sicherheit kommt von der Verbrennung von Energie", sondern "Sicherheit kommt von der Erzielung eines wirtschaftlichen Wertverlusts". Ein bestimmter Block oder Status hat die Sicherheit von $ X, wenn Sie nachweisen können, dass ein gleiches Maß an Finalisierung für einen widersprüchlichen Block oder Status nur erreicht werden kann, wenn böswillige Knoten versuchen, den Switch dazu zu bringen, protokollinterne Strafen in Höhe von $ X zu zahlen.
  • Theoretisch könnte eine Mehrheit der Prüfer einen Beweis für die Beteiligungskette übernehmen und sich böswillig verhalten. (I) Durch ein ausgeklügeltes Protokolldesign kann ihre Fähigkeit, durch solche Manipulationen zusätzliche Gewinne zu erzielen, jedoch so weit wie möglich eingeschränkt werden. (Ii) Wenn sie versuchen, neue Prüfer am Beitritt zu hindern oder 51% der Angriffe auszuführen, dann ist dies besonders wichtig Die Community kann einfach eine harte Gabel koordinieren und die Einzahlungen der anstößigen Prüfer löschen. Ein erfolgreicher Angriff kann 50 Millionen US-Dollar kosten, aber die Bereinigung der Konsequenzen wird nicht viel aufwändiger sein als das Scheitern des Geth / Parity-Konsenses vom 25.11.2016. Zwei Tage später sind Blockchain und Community wieder auf dem richtigen Weg, Angreifer sind 50 Millionen US-Dollar ärmer, und der Rest der Community ist wahrscheinlich reicher, da der Angriff dazu geführt hat, dass der Wert des Tokens aufgrund der sich daraus ergebenden Versorgungskrise gestiegen ist. Das ist für Sie eine Angriffs- / Verteidigungsasymmetrie.
  • Dies bedeutet nicht, dass ungeplante Festgabeln regelmäßig auftreten. Auf Wunsch können die Kosten eines einzelnen Angriffs von 51% auf den Nachweis des Einsatzes mit Sicherheit so hoch angesetzt werden wie die Kosten eines dauerhaften Angriffs von 51% auf den Nachweis des Einsatzes, und die bloßen Kosten und die Unwirksamkeit eines Angriffs sollten dies sicherstellen wird in der Praxis fast nie versucht.
  • Wirtschaft ist nicht alles. Einzelne Akteure können durch außerprotokollarische Motive motiviert sein, sie können gehackt werden, sie können entführt werden oder sie können sich einfach betrinken und beschließen, eines Tages die Blockchain zu zerstören und mit den Kosten zur Hölle zu gehen. Darüber hinaus erhöhen die moralischen Nachsichten und Ineffizienzen der einzelnen Personen die Kosten eines Angriffs häufig auf ein Niveau, das viel höher ist als der vom Nominalprotokoll definierte Value-at-Loss. Dies ist ein Vorteil, auf den wir uns nicht verlassen können, aber gleichzeitig ein Vorteil, den wir nicht unnötig wegwerfen sollten.
  • Daher sind die besten Protokolle Protokolle, die unter einer Vielzahl von Modellen und Annahmen gut funktionieren - wirtschaftliche Rationalität mit koordinierter Auswahl, wirtschaftliche Rationalität mit individueller Auswahl, einfache Fehlertoleranz, byzantinische Fehlertoleranz (idealerweise sowohl die adaptiven als auch die nicht adaptiven gegnerischen Varianten). Von Ariely / Kahneman inspirierte verhaltensökonomische Modelle („wir alle betrügen nur ein bisschen“) und im Idealfall jedes andere Modell, das realistisch und praktisch ist, über das man nachdenken kann. Es ist wichtig, beide Verteidigungsebenen zu haben: wirtschaftliche Anreize, um zentralisierte Kartelle von antisozialem Handeln abzuhalten, und antizentralistische Anreize, um Kartelle von der Entstehung abzuhalten.
  • Konsensprotokolle, die so schnell wie möglich arbeiten, haben Risiken und sollten, wenn überhaupt, sehr sorgfältig angegangen werden, denn wenn die Möglichkeit, sehr schnell zu sein, mit Anreizen verbunden ist, wird die Kombination sehr hohe und systemische Risiken nach sich ziehen. Induzieren von Zentralisierungsebenen auf Netzwerkebene (z. B. alle Validatoren, die von demselben Hosting-Anbieter ausgeführt werden). Konsensus-Protokolle, denen es egal ist, wie schnell ein Validator eine Nachricht sendet, solange sie innerhalb eines akzeptablen Zeitintervalls (z. B. 4–8 Sekunden) gesendet werden, da wir empirisch wissen, dass die Latenz im Ethereum normalerweise ~ 500 ms beträgt. 1s) haben diese Bedenken nicht. Ein möglicher Mittelweg ist die Erstellung von Protokollen, die sehr schnell funktionieren können, bei denen jedoch eine dem Onkel-Mechanismus von Ethereum ähnliche Mechanik dafür sorgt, dass die marginale Belohnung für einen Knoten, der seinen Grad an Netzwerkkonnektivität über einen leicht erreichbaren Punkt hinaus erhöht, relativ gering ist.

Ab hier gibt es natürlich viele Details und viele Möglichkeiten, um in den Details auseinander zu gehen, aber die obigen sind die Kernprinzipien, auf denen zumindest meine Version von Casper basiert. Von hier aus können wir sicherlich Kompromisse zwischen konkurrierenden Werten diskutieren. Geben wir der ETH einen jährlichen Emissionszins von 1% und erhalten 50 Millionen Dollar für die Erzwingung einer Abhilfegabel oder einen jährlichen Emissionszins von Null und erhalten wir 5 Millionen Dollar für die Erzwingung einer Abhilfegabel? Wann erhöhen wir die Sicherheit eines Protokolls im Rahmen des Wirtschaftsmodells im Gegenzug zu einer Verringerung seiner Sicherheit im Rahmen eines Fehlertoleranzmodells? Interessiert es uns mehr, ein vorhersehbares Sicherheitsniveau oder ein vorhersehbares Emissionsniveau zu haben? Dies sind alles Fragen für einen anderen Beitrag, und die verschiedenen Möglichkeiten, die unterschiedlichen Kompromisse zwischen diesen Werten umzusetzen, sind Fragen für noch mehr Beiträge. Aber wir werden es schaffen :)